L’Italia ha già, tra i paesi europei, una delle più avanzate leggi a tutela della privacy dei cittadini e, in generale, della sicurezza dei dati gestiti da sistemi informatici. Recentemente la normativa è stata rafforzata da un Provvedimento del Garante per la Privacy (pubblicato sulla Gazzetta Ufficiale lo scorso 24 dicembre) che prevede tutta una serie di misure da adottare nei confronti dei ‘system administrator’. I motivi alla base del provvedimento nascono dal fatto, emerso a seguito d’ispezioni effettuate dall’Autorità Garante presso grandi e piccole imprese, che spesso i responsabili aziendali non hanno una chiara idea dell’importanza che, proprio a causa dei privilegi inerenti ai loro compiti, gli amministratori di sistema hanno nei confronti della protezione dei dati, e quindi mancano specifici controlli sulla loro attività. Questa situazione, ci fa notare Elio Molteni (nella foto), Security Solution Strategist di Ca, “si sposa all’insofferenza che in genere chiunque svolga compiti tecnici complessi ha verso ogni tipo di regola imposta da fuori, vista come intralcio al proprio lavoro”. Il risultato è un’autonomia che, anche quando non vi sia dolo, rappresenta un rischio per la sicurezza. “Il nuovo quadro normativo – prosegue Molteni – permette invece d’incanalare l’operato del system administrator in una logica di sicurezza che comprende aspetti tecnologici e organizzativi”.
Sul piano organizzativo la legge infatti richiede:
1) che il ruolo di amministratore di sistema sia dato a persone che, oltre alle competenze specifiche, abbiano piena conoscenza delle norme sul trattamento dei dati;
2) che la loro attività sia regolata in modo chiaro ed esplicito da profili autorizzativi assegnati alle singole persone;
3) che nomi e funzioni degli amministratori siano registrati sulla documentazione che va annualmente inviata all’Authority, con conseguente verifica annuale della loro idoneità e del loro operato. Sul piano tecnologico, occorre che le attività dei system administrator siano controllate da sistemi che garantiscano un tracciamento completo, continuo e inalterabile degli accessi e delle operazioni svolte e che questo tracciamento sia registrato e mantenuto su archivi sicuri per almeno sei mesi.
Non stupisce che in molte aziende i security manager siano preoccupati, dato che i sistemi di logging degli ambienti operativi non rispondono a quanto chiesto e occorrono soluzioni mirate. Ca offre con Ca Access Control un completo sistema di controllo e protezione dei login, che vengono gestiti e tracciati da Ca Audit e dal nuovo Ca Enterprise Log Manager. “In più – aggiunge Molteni – con l’acquisizione di Eurekify (siglata il 13 novembre, ndr) oggi diamo anche la possibilità di verificare tutte le utenze in atto, con relativi ruoli e autorizzazioni, sulle varie macchine”. Va aggiunto che non occorre implementare l’intera suite Access Control per essere sicuri della conformità alla legge, ma si possono installare anche i soli moduli per il tracciamento e il log managing, che la tecnologia basata su standard di Ca permette d’integrare in soluzioni di sicurezza preesistenti.
Sicurezza: è l’ora dei system administrator
Entro fine aprile le aziende dovranno, a termini di legge, tracciare e registrare tutte le attività degli amministratori di sistemi, reti e database, che a loro volta dovranno essere nominativamente e univocamente identificati. La compliance a queste norme comporta problemi organizzativi e tecnologici non banali
Pubblicato il 31 Mar 2009
Argomenti
Canali
Speciale Digital360Awards e CIOsumm.it
Articolo 1 di 3